FinTechの進展への対応~個人情報保護法制について

FinTechの進展への対応~個人情報保護法制について

FinTech(フィンテック)と呼ばれる金融分野においてIT(情報技術)の発展を活用した革新的な金融サービスが台頭して来ています。それと同時に、こうしたITの発展は、社会全般において消費の主導権を企業から顧客にシフトさせ、企業側はこれまでよりも顧客の「個別ニーズ」に対応していくことが求められるようになりました。

関連するコンテンツ

この「個別ニーズ」に対応するうえで、金融機関は、これまで以上に「個人情報」を取得・加工・活用していくことが求められることになりますが、その際に留意すべき事項が2つあります。
1つは、「個人情報」は企業が自由に扱えるものではなく、国内外の個人情報保護法制を踏まえながら、取得や加工、活用に至るあらゆる場面での適切な取扱いが必要になるということです。また、今後国内外において日本企業に与える影響の大きい個人情報保護法制の改正が見込まれており、最新の動向についても注視していく必要があります。
もう1つは、金融機関にとっては、顧客との間を「アンバンドリング」する金融サービスの台頭や情報を一元管理から分散共有する形態へ移行する「ブロックチェーン技術」の活用や「仮想通貨」の普及といったフィンテックの進展によって、金融機関周辺での「個人情報」の流れが大きく変わりつつあることです。
本稿では、ITの発展が「個別ニーズ」への対応の重要性を高めた背景について概観するとともに、フィンテックが金融機関にもたらす「個人情報」の流れに与える変化について考察しながら、ITの発展に伴う社会全体の環境変化に対応するための改正も含めた主要国の個人情報保護法制について解説します。
なお、本文中の意見に関する部分については、筆者の私見であることをあらかじめお断りいたします。

ポイント

  • FinTechの台頭をもたらしたITの発展は、金融機関に対してこれまで以上に顧客の「個別ニーズ」に応えるビジネスモデルへの転換を促している。
  • 「個別ニーズ」に応えるうえで「個人情報」の重要性が高まる中、「IoT」や「AI(人工知能)」などこれまでになかった「個人情報」の取得・加工・活用に係る手法が登場するなど社会全般における環境変化に対応するため、国内外で個人情報保護法制の改正作業が進められている。金融機関はこうした改正動向についても十分に理解したうえで「個人情報」の利活用に向けた取組みを進めていく必要がある。
  • また、金融機関にとっては、「ノンバンク・プレーヤー」による「アンバンドリング」や、情報を一元管理する従来のクライアント・サーバ方式から参加者が情報を分散共有する「ブロックチェーン」技術を活用したピア・ツー・ピア型ネットワークへの移行、中央管理者のいないパブリック型のブロックチェーン技術に基づくビットコインをはじめとする「仮想通貨」の普及といったフィンテックの台頭が「個人情報」の流れを大きく変えつつあることにも留意が必要である。

1.「顧客」基点を促す構造的転換

1.企業から顧客への主導権シフト

金融業界では、FinTech(フィンテック)と呼ばれるIT(情報技術)の発展を活用した革新的な金融サービスが台頭しています。こうした新たな金融サービスの提供は、特に金融機関と顧客の間を「アンバンドリング」(分化)した分野において従来の金融機関ではない「ノンバンク・プレーヤー」が先行していますが、現在では従来の金融機関も商品力の強化に努めているところです。
このことは一方で、従来の金融商品・サービスには改善の余地があった、言い換えると顧客ニーズに応える金融商品・サービスを提供できていなかったことを示しています。金融機関は、より顧客ニーズに応える商品やサービスを開発・提供していくことが求められていますが、そのためには前提として「顧客ニーズ」が何かを把握する必要があります。
ただし、的確に顧客ニーズを探るうえで押さえておくべき環境変化がいくつかあります。1つは、金融商品・サービスの選択における主導権が既に金融機関から顧客にシフトしているということです。
このシフトの端緒は、インターネットの登場になります。端末をネットワークで繋ぐインターネットの登場は、顧客が買いたいと思う商品・サービスに係る価格や機能などの情報にこれまでよりも格段に効率的にアクセスすることを可能にしました。
その結果、企業と顧客の間の情報格差、いわゆる「情報の非対称性」が大きく減少し、顧客は、多くの情報を加味したうえで購入する商品・サービスを選択することが可能となりました。これまでよりも「顧客ニーズ」に応えることが求められるようになった背景として、こうしてシフトが起こっていることをまずは理解する必要があります。

2.顧客ニーズを満たす手段の出現

ただし、「情報の非対称性」の減少だけで市場環境の大きな変化がすぐに起こるわけではありません。実際の商品やサービスに変化が起こるためには主導権のシフトに加えて、新たに商品選択の主導権を持った顧客のニーズを満たす商品・サービスを開発・提供するための「手段」が必要になります。
顧客は、大きく2つの軸から商品・サービスの選択において重要な意思決定を行っています。1つは、低価格を求める「価格ニーズ」であり、同じ機能であればできる限り安く買いたいというニーズです。もう1つは価格以外に自分が有する欲求を満たす機能を商品・サービスに求める「個別ニーズ」です。通常この2つのニーズは二者択一ではなく、状況や場面によって2つのニーズのバランスが変わるという性質のものだと考えます。いずれにせよ、「情報の非対称性」の減少に伴う主導権のシフトによって企業は「価格ニーズ」と「個別ニーズ」についてこれまで以上に応えていくことが求められるようになりました。
「価格ニーズ」については、いくら顧客に商品・サービス選択の主導権がシフトしたといっても、企業側としては採算割れで販売する訳にはいかないので、インターネットが登場して商品・サービスの価格が劇的に低下したわけではありません。商品・サービス価格を下げるためには、安く商品やサービスを販売しても採算が取れるための手段がないと簡単に価格を下げることはできません。そして、この手段の登場には業界により多少の時間差がありました。
製造業における製品では、中国といった新興国における豊富な低賃金労働を活用するという価格低下を実現する手段が生まれたことをきっかけに商品価格の低下が進行しました。
商品に対して、「サービス」は人件費という下方硬直性の強いコストが大きな割合を占めるビジネス構造上、簡単に価格低下は起こりませんでした。ここに今「AI」という低価格でサービスを提供する手段が出現しています。今後は新興国の人件費が上昇してきた製造業が提供する「商品」市場よりもAIが代替可能な「サービス」市場において低価格化が加速するかもしれません。
「個別ニーズ」を満たす手段も変わりつつあります。こちらについては業界全体について影響があると考えます。「個別ニーズ」を把握するためには「価格ニーズ」を満たすうえでは必要のなかった個々の顧客に関する情報が必要になりますが、あらゆるモノがインターネットと繋がる「IoT」(Internet of Things)や人工知能(AI:Artificial Intelligence)がこれまで取得できなかった、あるいは取得することが難しかった情報の収集を容易にしていることによって「個別ニーズ」を把握するために有用な情報が劇的に増加しています。また、そうした大量の情報、いわゆる「ビッグ・データ」を人手に頼らず的確に分析するコンピュータの情報処理能力も向上しています。つまり、金融機関にとっては、「価格ニーズ」だけでなく「個別ニーズ」を満たす手段も出現しつつあるといえます。

3.付加価値の源泉のシフト

顧客への商品選択に係る主導権のシフトは、それだけ「個別ニーズ」を満たす要求が高まることに繋がるため、企業にとっての付加価値の源泉も大量生産等による「価格ニーズ」への対応より「個別ニーズ」を満たすことにシフトしつつあります。
一人一人違う「個別ニーズ」に応えることは、必然的に一種類の商品あたりの販売量は少量化せざるを得ませんが、通常少量生産には限界があります。ロッドが小さくなることに伴う単価の上昇を顧客がどこまでも許容してくれる訳ではないからです。ただし、金融商品やサービスは製造業ほど物理的な制約が大きくなくカスタマイズ化が容易であることから、工業製品以上に商品が細分化され、より「個別ニーズ」への対応が付加価値の源泉として重要になってくると考えられます。
「個別ニーズ」の把握には、顧客がどのようなニーズを持っているかという情報、あるいは顧客が気付いていないニーズを推察できるだけの情報が必要です。これらの情報は、よりニーズに結び付くものであるほど有用性が高く、一人あたりの情報量が多いほど正確に把握できます。
いまITの発展に伴ってこの顧客ニーズを把握するうえで有用な情報・データの出所が大きく変わりつつあります。前述のように「IoT」や人工知能が、これまで企業が入手できなかったあるいは難しかったデータの入手を容易にしています。
価格以外の要素を重視して購入商品を選択する顧客は、数ある商品選択肢の中から「最も」自分が気に入った商品を買います。この価格以外の要素というのが十人十色であることから、企業としては満遍なく多数の人が好む要素を盛り込もうとしがちですが、それではどの人にとってもある程度高い評価を得ることができても、どの人にとっても「最も」ニーズに適した商品とはならず、2番手や3番手の位置づけに留まってしまい、結果として売り上げに結びつかないということが起こってしまいます。
今後企業は、顧客を基点にして、顧客から見て「最も」ニーズを満たす商品やサービスを提供していく必要があります。
金融機関にとっては、真に顧客に提供している付加価値によって選別される日が近づいているといえます。そしてその変化のスピードは、物理的な製造工程を必要とする工業製品とは比べ物にならないくらいのスピードで進化していくと考えます。顧客に提供する金融商品・サービスが顧客に与える価値を最大化するうえで重要なものが個人の好みやニーズがわかるような情報やデータを持つこととなる時代が訪れようとしています。

2.主要国における「個人情報」に係る法制度の動向

個人情報の取扱いに係る国内外の法制度

これまで、「個別ニーズ」を探るうえで、「個人情報」の利活用の重要性を述べてきましたが、「個別ニーズ」を把握・推測するための情報は、企業が自由に取得・活用できるわけではありません。「個人情報」を取り扱うに際しては、関連する各国の法規を遵守しながら法規制の許す範囲で活用する必要があります。そして、この「個人情報」の取扱いを巡る法規制もITの発展を受けて大きく変貌しています。
個人情報は、生年月日や氏名、生体認証用にデータ化された身体に関する情報、携帯番号等個人に割り当てられた識別符号などの生の「個人情報」と個人情報を検索しやすいように体系的に構成した、いわゆる個人情報データベースを表す「個人データ」の大きく2つが重要になります。
個人情報は、本人同意が必要など取得時における規制と第三者への移転に係る規制に関して、何が禁止され、どういう要件を満たせば規制を遵守していることになるのか等について留意する必要があります。通常、個人が識別できないように匿名加工された個人情報については規制が緩やかになることが大半です。ただし、何を満たせば匿名化したことになるか等個人情報の加工についても理解しておく必要があります。
日本においては、個人情報を活用しやすくするよう個人情報保護法等の改正案が2015年9月に公布され、2017年9月までに施行することになっています。この改正は、個人情報の保護を図りつつ、パーソナルデータの利活用を促進することによる、新産業・新サービスの創出と国民の安全・安心の向上の実現を目的としています。主な改正のポイントは以下のとおりです。

  • 「個人情報」の定義の明確化:生体認証に使われる指紋などのデータや顔認識に使われるデータも個人情報になります。免許証やパスポートの番号だけでも個人情報となります。また、個人情報と結びついた移動履歴や購買履歴も個人情報となります。その他、人種、信条、病歴、犯罪歴といった機微情報の取扱いに関する規定も整備されています。
  • 適切な規律の下での個人情報活用の促進:匿名化された情報に関する加工方法や取扱い等に関する規定が整備されています。また、個人情報保護方針の作成や届出、公表等の規定が整備されています。
  • 個人情報の流通の適正確保:いわゆる名簿屋対策としてトレーサビリティの確保義務付けや個人情報データベース提供罪の新設が行われています。
  • 個人情報保護委員会の新設:現行の主務大臣の権限を、新設の個人情報保護委員会に一元化する規定が整備されています。
  • 個人情報の取扱いのグローバル化:国境を越えた適用と外国当局への情報提供に関する規定および外国にある第三者への個人データの提供に関する規定が整備されています。
  • 訴求権:本人の開示、訂正、利用停止等の求めは訴求権であることを明確化する規定が整備されています。

日本の個人情報保護法改正におけるポイントは、個人情報として取り扱うべき範囲の曖昧さ、いわゆるグレーゾーンを解消し、企業による利活用を促進することです。このため、顔認証や指紋認証など生体認証のためのデータも個人情報とするなど明確が図られるとともに、匿名加工された情報について企業の自由な利活用を認めることにより経済を活性化させることを促すとしています。
欧州では、2016年4月、EU一般データ保護規則( GeneralData Protection Regulation, 以下「GDPR」という)が欧州議会で承認されており、2018年5月25日から施行される予定です。日本企業にとってのこのGDPRの最大のポイントは、EU域内の顧客に関する「個人情報」を取り扱う日本企業にも適用される、域外適用です。
GDPRにおいて、EUからEU域外への個人情報の移転は、本人の明確な同意などの一定の要件を満たさない限り禁止されています。この規定は、EU域内の個人に対して商品やサービスを提供しているEU域外の企業にも適用されるため、たとえば、インターネットを通じてEU域内の顧客に対して商品やサービスを提供する日本企業は、たとえ、ビジネス活動が日本で行われていても「個人情報」の取扱いに関してGDPRを遵守する必要が生じます。また、スマートフォンや自動車の位置情報なども個人情報に該当することになりますので、こうしたデータの収集を行う場合もGDPRが適用されると考えます。
なお、この域外へのデータ持ち出し禁止については、当該EU域外国がEU規制と同等の規制を有しているという「十分性」が認められた場合には適用されません。日本の十分性が認められない場合、日本企業は、このデータ持ち出し禁止規制の対象となります。
したがって、アンバンドリング業務を手掛けるEU企業のサービスを利用する場合など、日本で日本人に対してのみサービスを提供している場合であっても、一定の要件を充足するとGDPRの域外適用対象となる可能性がありますので、どのように個人情報が流れ、個人情報の匿名化など法規制を遵守した形式となっているかどうかなどをチェックする必要があります。
また、EU企業・個人も参加するブロックチェーンの活用などグローバルに活動する企業でなくともGDPRの適用の有無については、匿名加工要件を充足しているか確認するなど細心の注意を払う必要があります。
仮にGDPRに違反すると、最大で2000万ユーロまたは全世界売り上げの4%を上限に罰金が科されることがあります。日本では考えられないような巨額の罰金が課されることを避けるためにも、日本のみならず海外の個人情報保護に関する制度についても整理・把握していく必要があります。
なお、個人情報のEU域外持ち出し禁止以外のGDPRの主な規制は以下のとおりです。

削除権
(忘れられる権利)
個人情報保有の必要性がなくなった場合など情報の削除を求めることができる権利
ポータビリティの権利 個人データを提供した本人が提供した主体に対して、当該情報を他の主体に移転することを要求する権利
プロファイリングに反対する権利 個人データを利用して個人的嗜好や行動、位置、健康、経済状況、他社からの信頼等を推測することを拒否する権利

米国における個人情報保護法制は現時点では全米を包括的に、かつ個人情報全体をカバーする規制は存在せず、企業が個人情報保護に係るポリシーを作成・公表する自主規制に依拠しています。ただし、現時点では成立する見込みが低いものの、包括的なデータ保護法制を策定しようとする動きもあり、注視していく必要があります。
なお、このように米国の個人情報保護に係る規制は緩やかなものであるものの、欧州のGDPRにおける十分性の認定については、政治的な動きも絡みつつ、包括的な適用除外を模索する動きが続いています。つまり、外形的にはおよそ欧州と同等の個人情報保護規制が整備されているとは言えない米国について、EU域内居住者の個人情報を持ち出すことを禁じる規制の対象から米国を外す動きが見られます。
「個別ニーズ」を探るうえで個人情報をこれまで以上に取り扱うことになる金融機関にとって個人情報保護法制は、金融規制とともに留意しつつも、確実に法に触れないよう保守的に運用するのではなく、可能な限り活用していくべき法制度と言えます。

3.フィンテックで大きく変わる「個人情報」の流れ

1.「アンバンドリング」される金融ビジネス

社会全般に影響を与える個人情報保護法制に加えて、金融機関の場合は、フィンテックの進展を受けた「個人情報」も含む情報・データに係る流れの複雑化にも留意が必要です。
顧客と金融機関の間を「アンバンドリング」してフィンテック・プレーヤーが金融サービスを提供すると、それだけ情報への関与者が増えることになります。たとえば、このフィンテック・プレーヤーが欧州企業である場合は、データが一度欧州に移転しその後日本の金融機関に流れることになるかも知れません。匿名加工されていることが大半であっても、ブロックチェーンの仕組み上、すべての取引記録は、ネットワーク上のすべての参加者(ノード)に分散共有されています。これは、すべてのノードがあらゆるネットワーク参加者の個人情報を発信しながらネットワーク参加者が属するすべての国から個人情報を入手しているとみなすことも可能と考えられます。
ITの発展によって膨大な個人情報が生まれ、複雑な経路をたどりながら個人情報が世界中を流れています。このような環境では、ITの発展を踏まえて情報・データを活用したビジネスに乗り出そうとしてもいつの間にか個人情報保護に関する法令に違反しているという状態に繋がりかねません。個人情報の取扱いについては規制の動向を踏まえつつ法の許す範囲において活用する方法を模索していくことが肝要です。

2.情報の流通経路を変える「ブロックチェーン」

ブロックチェーン技術については既に様々なところで語りつくされており、その技術的特徴については説明する必要は乏しいかと思いますが、念のため簡単にビットコインに使われているブロックチェーン技術について概説すると、一定時間内に行われた取引記録のブロックを過去からの取引記録にチェーンのように繋げてホストサーバの無いピア・ツー・ピアの分散型ネットワーク上で各ノードが分散共有することにより、高い改ざん耐性を備えつつ電子的な価値記録を信頼できる第三者なしに移転させることを可能にした技術です。
現在は、仮想通貨のような誰でも参加可能なブロックチェーンではなく、参加者を限定したプライベート型のブロックチェーン技術を活用したユースケースの実証実験が盛んに行われていますが、この場合であってもネットワーク参加者間でデータが分散共有されることに変わりはありません。現時点では匿名加工されているケースやそもそも個人情報が含まれないケースがほとんどかと思いますが、匿名化が不十分なためにある日突然個人情報保護規制に違反していることが発覚したといったケースが出てくるかもしれません。
いずれにせよ、金融機関は、フィンテックの台頭による情報の流れの変化と国内外の個人情報保護法制の動向について留意しつつ、「個別ニーズ」を探るために最大限情報を取得・加工・活用していくことが求められます。

4.まとめ

1.顧客とのインターフェイス

金融機関にとって金融ビジネスを展開するうえで今後最も重要な課題となるのは顧客とのインターフェイスをどのように構築し、維持していくかという点になります。なぜなら、顧客との接点を持つことは、金融商品やサービスを購入してもらうための第一歩であり、実際に商品やサービスを開発する際に最も重要な顧客ニーズを把握するために必要な情報を収集できるかどうかに直結するからです。
ただし、単純な情報の囲い込みでは顧客が自社の金融商品やサービスを選択する確率を低下させてしまう恐れがあります。重要なことは顧客から見て「最も」顧客ニーズを満たす商品やサービスを提供する「顧客基点」の対応です。「最も」顧客ニーズを満たす商品やサービスを開発するためなら、不足する情報や商品・サービスの開発能力を補うため、他社との提携を含めたオープン・イノベーションを推進することも必要です。
オープンAPIについても同様に自社が今後も競争力を強化・維持していくうえで適切なAPIの公開のあり方について検討することが肝要です。まったく公開しないというのは情報の過度な囲い込みに繋がり、顧客ニーズを満たした商品やサービスの開発で後れを取りやすくなるなど、顧客とのインターフェイスを維持・拡大するうえで最適な選択とは言えません。他方で過度な、あるいはやみくもな公開も顧客との接点は増えるかもしれませんが、一定数以上の公開を過ぎると自社商品やサービスの開発強化に繋がる側面よりセキュリティ面でのリスクや個人情報保護規制といった法務面でのリスクの高まりといったデメリットの方が大きくなってくると考えられます。
銀行がAPIを公開するかどうかはつまるところ、巨大プラットフォームに接続するかどうかに繋がっていきます。巨大プラットフォーム上で提供される銀行口座・銀行サービスの1つの選択肢となるか、そもそも顧客とのインターフェイス構築を自力で行うかの選択にすぎません。
もちろん、有力なプラットフォーマーには多くの銀行が集まり、多数の選択肢のなかで顧客に選ばれることは難しい反面、集客力の弱いプラットフォーマーと提携してもそもそもそこに顧客がついていないかもしれません。いずれにしても、APIの公開が即顧客の獲得に繋がるわけではなく、顧客と繋がるための工夫が必要になります。

2.金融ビジネスの方向性

近年のITの発展が金融業界にもたらした大きな変化は、フィンテックの金融サービスではなく、金融サービスの利用者である人々の情報へのアクセス経路と情報の活用手段の変化および利用者ニーズを知るために有用なデジタル化された情報の増加と大量の情報、いわゆるビッグ・データを分析・処理する能力の向上による付加価値の源泉の変化の2つの変化です。
あらゆるモノがインターネットに繋がるIoTの普及や人工知能の進化は、人々に関するものも含め様々な情報をデジタル・データ化することを可能にし、それとともに大量のデータ、いわゆるビッグ・データを生み出しながら、人間では不可能なそうしたビッグ・データを処理するコンピュータの能力も向上したことにより、金融業界に限らずあらゆる業界において付加価値を生み出すビジネスモデルをセグメント化された顧客層に対する商品・サービスの提供から個別ニーズに応じてカスタマイズ化された商品やサービスを提案・提供するアプローチへと大きく転換させようとしています。
今後の金融ビジネスは、厳格な金融規制に服する特別な会社から、他のサービス関連業種と同様に顧客基点のサービス産業として生まれ変わっていくと考えられます。
「最も」顧客ニーズを満たした商品やサービスを提供することさえできれば、企業規模が以前ほど競争力に大きな影響を与える要素ではなくなっていることから、限られた地域をビジネスの基盤とする地域金融機関など、対象顧客を一定の範囲に絞り込むブティック型のビジネスも生き残る余地が大きいと考えられます。ただし、生き残るためにはビジネスモデルを大きく変える必要があります。
金融ビジネスモデルが大きく変わる以上、そこで働く人間が求められる役割やスキル、経験等もまた、大きく変化していくことになります。定型的な業務、たとえば決済関連の業務の大半はブロックチェーン技術によってそもそも人員が必要なくなる可能性があります。融資や保険などの審査業務も人工知能が代替すると言われています。また、支店網自体も見直しが必至の状況です。一方で、人工知能も含めてシステムエンジニア職は拡大していくと見られます。なぜなら、そこに収益や付加価値の源泉が集中することになるからです。商品やサービスの開発に必要な情報の収集にはビジネス戦略も必要になります。
全体として、金融機関は情報サービス産業化し、金融以外にも多種多様なビジネスを展開する可能性があります。その時金融機関内部で働いている人たちはこれまでとは異なるバックグラウンドや能力を持っていると考えられます。

執筆者

有限責任 あずさ監査法人
金融事業部
シニアマネジャー 保木 健次

金融機関向けアドバイザリー

金融機関向けアドバイザリー

銀行、保険、証券、新規市場参入者等、金融サービス業界に対し幅広いサービスを提供します。

お問合せ

 

RFP(提案書依頼)

 

送信

新デジタルプラットフォーム

新機能の実装と新デザイン